VPN steht nur Routing macht Probleme

[pixel]

Hi@all,

ich habe nach dem Artikel in der CT' ein VPN-Gateway mit OpenVPN eingerichtet. Die Konstellation sieht so aus:

[OpenVPN-Gateway]

SuSE-9.1
OpenVPN-2.0-2.1
eth0 -> IP 192.168.0.10 Netz: 192.168.0.0 / 255.255.255.0
eth1 -> Mit DSL-Modem verbunden
ppp0 -> Device für Internet, IP dynamisch
tun0 -> 10.1.0.1 (Adresse die im Tunnel verwendet wird)
Das Gateway ist vom Internet her über gateway1.dyndns.org erreichbar.

Die Konfiguration von OpenVPN am Gateway sieh so aus:

Code:

port 1194
proto udp
dev tun
ca /etc/ssl/my-ca.pem
cert /etc/ssl/certs/servercert.pem
key /etc/ssl/private/serverkey.pem
dh /etc/ssl/dh1024.pem
server 10.1.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.0.0 255.255.255.0"
push "redirect-gateway"
push "dhcp-option DNS 192.168.0.1"
keepalive 10 120
auth SHA1
cipher AES-256-CBC
;comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3

Nun versuche ich vom entfernten Windows (w2k) - Client aus zu verbinden. Hierzu habe ich mir den OpenVPN-Win-Installer von der Projekt-Homepage installiert. Die Konfiguration am Client sieht so aus:

Code:

dev tun
proto udp
remote gateway1.dyndns.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca my-ca.pem
cert sws-svencert.pem
key sws-svenkey.pem
auth SHA1
cipher AES-256-CBC
;comp-lzo
verb 3

Das Herstelen der Verbindung vom Windows-Client aus klapp auch. Das Protokoll des Verbindungsausbau findet der Interessierte Leser ganz unten (da ich hier keinen Fehler erkenne).

Das VPN-Gateway ist durch den Tunnel wie zu erwarten unter der 10.1.0.1 zu ereichen. Ein Pink vom externen Client aus klappt. Der Client hat auch eine dynamische IP aus diesem Bereich bekommen:

ipconfig /all am Windows Client gibt für das Device aus:

IP-Adresse: 10.1.0.6
Subnet: 255.255.255.252
Standard-Gateway: 10.1.0.5
DHCP-Server: 10.1.0.5
DNS-Server: 192.168.0.1


Mein Problem ist nun das ich das hinter dem Gateway liegende Netz:

192.168.0.0 / 24

nicht erreiche. Dort ist ein DHCP/DNS-Server unter der 192.168.0.1.

Was habe ich falsch gemacht?

Viele Grüße
pixel


[Protokoll des Verbindungsaufbau am entfernten Windows-Client]

Code:

OpenVPN 2.0 Win32-MinGW [SSL] [LZO] built on Apr 17 2005
IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Control Channel MTU parms [ L:1557 D:138 EF:38 EB:0 ET:0 EL:0 ]
Data Channel MTU parms [ L:1557 D:1450 EF:57 EB:4 ET:0 EL:0 ]
Local Options hash (VER=V4): '2dd3fcaf'
Expected Remote Options hash (VER=V4): '8114d01c'
UDPv4 link local: [undef]
UDPv4 link remote: 84.162.255.84:1194
TLS: Initial packet from 84.162.255.84:1194, sid=03afd1b8 b145e885
VERIFY OK: depth=1, /C=DE/ST=Baden-Wuerttemberg/L=Buehl/O=Dreampixel/CN=my-ca/emailAddress=root@hades.dreampixel
VERIFY OK: depth=0, /C=DE/ST=Baden-Wuerttemberg/L=Buehl/O=Dreampixel/CN=server/emailAddress=root@hades.dreampixel
Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
[server] Peer Connection Initiated with 84.162.255.84:1194
SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
PUSH: Received control message: 'PUSH_REPLY,route 192.168.0.0 255.255.255.0,redirect-gateway,dhcp-option DNS 192.168.0.1,route 10.1.0.1,ping 10,ping-restart 120,ifconfig 10.1.0.6 10.1.0.5'
OPTIONS IMPORT: timers and/or timeouts modified
OPTIONS IMPORT: --ifconfig/up options modified
OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
TAP-WIN32 device [ovpn] opened: \\.\Global\{6611A651-19B1-4C20-B97A-06079B150D23}.tap
TAP-Win32 Driver Version 8.1 
TAP-Win32 MTU=1500
Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.1.0.6/255.255.255.252 on interface {6611A651-19B1-4C20-B97A-06079B150D23} [DHCP-serv: 10.1.0.5, lease-time: 31536000]
Successful ARP Flush on interface [2] {6611A651-19B1-4C20-B97A-06079B150D23}
TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Route: Waiting for TUN/TAP interface to come up...
TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Route: Waiting for TUN/TAP interface to come up...
TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Route: Waiting for TUN/TAP interface to come up...
TEST ROUTES: 3/3 succeeded len=2 ret=1 a=0 u/d=up
route ADD 84.162.255.84 MASK 255.255.255.255 192.168.111.3
Route addition via IPAPI succeeded
route DELETE 0.0.0.0 MASK 0.0.0.0 192.168.111.3
Route deletion via IPAPI succeeded
route ADD 0.0.0.0 MASK 0.0.0.0 10.1.0.5
Route addition via IPAPI succeeded
route ADD 192.168.0.0 MASK 255.255.255.0 10.1.0.5
Route addition via IPAPI succeeded
route ADD 10.1.0.1 MASK 255.255.255.255 10.1.0.5
Route addition via IPAPI succeeded
Initialization Sequence Completed

[cane]

Hi pixel,

poste bitte mal die komplette Ausgabe von "ipconfig /all" und "route print" auf deinem Windows-Client.

Wenn der Tunnel schon steht ist's garantiert ein Routing-Problem oder eins mit den Push-Parametern...

Kannst zusätzlich auch mal bei http://vpnforum.de schauen - nettes Forum...

mfg
cane

[pixel]

Hi,

Hier die Ausgabe von ipconfig /all:

Code:

Windows 2000-IP-Konfiguration

	Hostname. . . . . . . . . . . . . : sws-sven
	Prim„res DNS-Suffix . . . . . . . : 
	Knotentyp . . . . . . . . . . . . : Hybridadapter
	IP-Routing aktiviert. . . . . . . : Nein
	WINS-Proxy aktiviert. . . . . . . : Nein
	DNS-Suffixsuchliste . . . . . . . : softwareschmied

Ethernetadapter "ovpn":

	Verbindungsspezifisches DNS-Suffix: 
	Beschreibung. . . . . . . . . . . : TAP-Win32 Adapter V8
	Physikalische Adresse . . . . . . : 00-FF-66-11-A6-51
	DHCP-aktiviert. . . . . . . . . . : Ja
	Autokonfiguration aktiviert . . . : Ja
	IP-Adresse. . . . . . . . . . . . : 10.1.0.6
	Subnetzmaske. . . . . . . . . . . : 255.255.255.252
	Standardgateway . . . . . . . . . : 10.1.0.5
	DHCP-Server . . . . . . . . . . . : 10.1.0.5
	DNS-Server. . . . . . . . . . . . : 192.168.0.1
	Lease erhalten. . . . . . . . . . : Mittwoch, 13. Juli 2005 13:48:03
	Lease l„uft ab. . . . . . . . . . : Donnerstag, 13. Juli 2006 13:48:03


Ethernetadapter "LAN-Verbindung":

	Verbindungsspezifisches DNS-Suffix: softwareschmied
	Beschreibung. . . . . . . . . . . : Marvell Yukon Gigabit Ethernet 10/100/1000Base-T Adapter, Copper RJ-45
	Physikalische Adresse . . . . . . : 00-0E-A6-74-86-D5
	DHCP-aktiviert. . . . . . . . . . : Ja
	Autokonfiguration aktiviert . . . : Ja
	IP-Adresse. . . . . . . . . . . . : 192.168.111.95
	Subnetzmaske. . . . . . . . . . . : 255.255.255.0
	Standardgateway . . . . . . . . . : 
	DHCP-Server . . . . . . . . . . . : 192.168.111.1
	DNS-Server. . . . . . . . . . . . : 192.168.111.1
	Prim„rer WINS-Server. . . . . . . : 192.168.111.1
	Lease erhalten. . . . . . . . . . : Mittwoch, 13. Juli 2005 13:45:04
	Lease l„uft ab. . . . . . . . . . : Mittwoch, 13. Juli 2005 13:55:04

Aber soweit ich das sehe habe ich im ersten Posting alle relevanten ipconfig-Ausgaben gepostet.

Was ich mir vorstellen könnte ist das ich an der SuSE-Firewall, die auf dem VPN-Gateway läuft noch das Routing anpassen muß. Damit das Gateway weiß des es Pakete die aus dem Netz 10.1.0.0/24 über das Interface tun0 rein kommen ins LAN hinter dem Gateway (192.168.0.0/24) routen muß.

Viele Grüße
pixel

[pixel]

Ach ja, evtl. hilft das noch weiter. Hier die Ausgabe von 'route' auf dem VPN-Gateway:

Code:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.1.0.2        *               255.255.255.255 UH    0      0        0 tun0
217.0.116.59    *               255.255.255.255 UH    0      0        0 ppp0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
10.1.0.0        10.1.0.2        255.255.255.0   UG    0      0        0 tun0
link-local      *               255.255.0.0     U     0      0        0 eth1
loopback        *               255.0.0.0       U     0      0        0 lo
default         217.0.116.59    0.0.0.0         UG    0      0        0 ppp0

[cane]

Da lese ich grad im vpnforum.de einen Beitrag und denke mir "Hey, der Typ hat auch seine Configs aus dem c't Artikel". Vergleiche sie aber nochmal Zeile für zeile und ärger mich am Ende das er auch nicht in sein 192er Netz kommt.

Dann sehe ich: Der user heisst zufälligerweise pixel

Ich schau aber mal weiter

mfg
cane

[cane]

Also bei deiner Client-Config vermisse ich den Parameter "client" und (oder?) "pull".

Schau mal hier und vergleich mal: http://vpnforum.de/viewtopic.php?t=7...442d149bfa757e

Ich schau morgen noch mal genau drüber und wette das es bis morgen Abend läuft

mfg
cane

[pixel]

Hallo,

die Namensgleichheit ist kein Zufall. Das bin auch ich

In der Client-Konfiguration ist das Schlüsselwort 'client' enthalten. Das fiel dem Copy&Past-Syndrom zum Opfer

Den Beitrag im OpenVPN-Forum habe ich mir angeschaut. Der User hat das Problem mit dem Hinzufügen einer statischen Route am VPN-Gateway in den Griff bekommen.
Das werde ich Morgen früh gleivch ausprobieren. Das wäre eigentlich logisch und ein User in der Mailing-Liste hatte etwas ähnliches angedeutet. Jetzt muß ich nur noch schauen wie ich diese Anpassung am Routing mit Yast hin bekomme.

Viele Grüße
pixel

[cane]

Morgen pixel,

war mir schon klar das Du das bist

Hab hier grad das neue Linux-Magazin - da war auch ein Beispiel zu OpenVPN drin. Ich denke dir fehlt beim Client die Route in dein 192er Netz:

Code:

route add -net 192.168.0.0 gw 10.1.0.1

Und die muss auf dem VPN-Gate raus, dein 192.er Netz hängt ja an eth0:

Code:

192.168.0.0     *               255.255.255.0   U     0      0        0 eth1

mfg
cane

[cane]

Poste doch bitte mal die Routen des Clients...

mfg
cane

[pixel]

Bei ihm hat sich das Problem durch:

also:

router(192.168.0.1)
vpnserver(192.168.0.2)
windowsserver(192.168.0.3)

da der vpnserver (192.168.0.2 und 10.1.0.1) das vpn gateway ist, müssen natürlich alle anfragen die aus dem vpnnetz(10.1.0.x) kommen auch wieder dahingeleitet werden. deshalb eine statische route im router(192.168.0.1) angelgt werden muss.
Code:

" 10.1.0.0 255.255.255.0 gateway 192.168.0.2 "

dann auf dem linuxserver(192.168.0.2) IP_forwarding auf 1 stellen !!!!
Code:

echo "1">/proc/sys/net/ipv4/ip_forward

gelöst also habe ich es auf meine Gegebenheiten angepasst und in Yast / Netzwerkdienste / Routing folgende eingetragen:

Destination: 10.1.0.0
Gateway: 192.168.0.10
Subnet: 255.255.255.0
Device: tun0

nun habe ich mich ausgesperrt. Ich komme von extern nicht mehr an das Gateway

Viele Grüße
pixel

[pixel]

Und die muss auf dem VPN-Gate raus, dein 192.er Netz hängt ja an eth0:

Code:

192.168.0.0     *               255.255.255.0   U     0      0        0 eth1

Wie bekomme ich diese dauerhat raus. Ich denke mal das es nicht reicht sie mit route del ... zu entfernen. Diese wurde ja automatisch angelegt da ich eine 2. Karte für's DSL-Modem drin habe. Wie kann ich verhindern das hierfür ein Eintrag in der Routing-Tabelle angelegt wird?

Ich denke dir fehlt beim Client die Route in dein 192er Netz:

Code:

route add -net 192.168.0.0 gw 10.1.0.1

Ich habe mir das HowTo bzw. die Sample-Files für den Client angeschaut. Da finde ich keine Option um einen Eintrag in der Routing-Tabelle vorzunehmen. Wie muß ich dieses setzen?

Viele Grüße
pixel

[cane]

Hi pixel,

hatte leider in den letzten Tagen kaum Zeit - werde mich aber bis nächste Woche um dein Problem kümmern...

mfg
cane

[Columbo0815]

Ich habe mir das HowTo bzw. die Sample-Files für den Client angeschaut. Da finde ich keine Option um einen Eintrag in der Routing-Tabelle vorzunehmen. Wie muß ich dieses setzen?

Viele Grüße
pixel

Ich hoffe ich verstehe dich hier richtig:
Füge beim Client die Zeile

Code:

up /dein/config/verzeichnis deinscript

in die config und in deinscript fügst du die Zeile

Code:

#!/bin/bash
route add -net 192.168.0.0 gw 10.1.0.1

ein.
Wobei bei mir

Code:

route add -net 192.168.1.0 netmask 255.255.255.0 gw $5

steht. (klar, die IP musst du ändern). deinscript musst du noch ausführbar machen.

HTH

[pixel]

Äh, der Client ist Windows

[pixel]

Hab's hin bekommen. Es lag an der Firewall